Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 13 replies
  • Answers 1 answer
  • Subscribers 3 subscribers
  • Views 34458 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

random web sites not loading (UTM home)

pendiang
Hi all,

I'm using the Sophos UTM in home edition mode on dedicated hardware (2GB RAM, Core2Duo CPU, 120GB SSD, APC UPS). It has been running fantastic for years, but in the last few weeks we've begun having trouble browsing the web. Random sites simply won't load, giving a "timed out" error most often. Repeatable sites experiencing this issue include:

* www.usbank.com
* www.wellsfargo.com
* avatars and images while using the Twitter mobile app (images load if I use cellular, get the grey boxes if I go through the wifi protected by UTM)

Occasionally, the Wells Fargo page will partially load (see attachment). I suspect it might be the content that is available via HTTP rather than HTTPS, but not sure. 

I have tried multiple browsers, multiple machines and multiple platforms behind the UTM, all with the same effects. The list of sites appears to be growing; at first only US Bank was unreachable, but I could still get to Wells Fargo fine. Then a week later all the sudden I couldn't reach Wells Fargo either. I have tried disabling the following, all to no effect:

* IPS
* Web Filtering
* Application Control
* IPv6 tunnel broker

The requests to the broken web site addresses do show up in the firewall logs as allowed. I cannot seem to locate the target IPs in any other logs. (Side note: this is why it is so frustrating for me to not have a unified log search in the UTM.) I suspect there is something else that is trying to inspect HTTPS or inspect certificates that is malfunctioning or interfering. 

Other history, not sure whether related: Around the time I started noticing the issue, I also renumbered an IPv6 subnet internally. I tried assigning the old subnet to a different internal interface (vlan) but ended up adding the old gateway address as an Additional Address of the interface where it came from in the first place. (I didn't notice the IPv6 renumbering functionality provided by the UTM at the time.) But I'm quite certain I have flushed caches and am getting new IPv6 addresses from the proper DHCP6 pool.

I'm out of ideas on where to look next. I searched the boards but couldn't find anything recent that was close. Has anyone else seen this issue and resolved it? Does anyone else have any ideas on how to go about troubleshooting this further? 

I am a technical user with a solid networking foundation, but not so proficient in Linux. I would love to understand what the root cause is here.


This thread was automatically locked due to age.
  • 0
    what av is installed on the endpoints?  What is your dns setup?  It is all working fine here and form my other client installs..[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    what av is installed on the endpoints?  What is your dns setup?  It is all working fine here and form my other client installs..[:)]


    Thank you for the quick response! Good questions. I signed up for the integrated Sophos endpoint protection that comes with the UTM, but it's on the Windows PC only (not the mobile). For DNS I am forwarding to the two public OpenDNS servers, not using ISP DNS servers, not using DNSSEC, no static entries. 

    Hmm.... now that you ask about it, I think I did used to have Google's two public DNS servers in there too, and removed them around the time this started. I will do 2 things:

    1) Login to OpenDNS and see if they're fiddling with my DNS resolution at all, and 
    2) add Google's DNS back in.

    Will report back if the issue resolves over the next couple days. Thanks!
  • 0
    I don't use google dns..i use opendns and they don't screw with things unless you tell them too..well mostly..they do redirections for nxdomains.  you may want to try removing opendns and using google dns as a test..[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Hi, pendiang, and welcome to the User BB!

    Do you see anything from #1 in Rulz?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I have this same issue at times as well.  It seems that using Google DNS was actually my problem.  I did break one of the golden rules, and used the DNS forwarder assigned by my ISP instead.  That problem went away, and since going to my new ISP, I noticed on my UTM, that the DNS addresses are actually shown below the check box to enable to use the ISP forwarders... something that I have never seen happen before, haha.

    OPNSense 64-bit | Intel Xeon 4-core v3 1225 3.20Ghz
    16GB Memory | 500GB SSD HDD | ATT Fiber 1GB
    (Former Sophos UTM Veteran, Former XG Rookie)

  • 0
    @William: I added the Google DNS back in last night, and checked out my OpenDNS settings. No changes; issue is still occurring consistently.

    @BAlfson: Thank you for the link! I have it bookmarked now. [:)]  Firewall log shows a bunch of DNS requests and allowed packets on my web filtering rule. The only dropped traffic was specific to a particular mobile device trying to check in with its manufacturer (unrelated to this issue). The IPS log has only one entry in today's log. Upon closer inspection that's regarding an HTTP request to an IP address owned by F-Secure. It could be one of several F-Secure apps we run. Other than that, the IPS log is blank. The Application Control log is also blank, as I had forgotten to turn it back on since the last time I troubleshot this issue.

    @Amodin: I guess it's certainly worth a try to use the ISP-provided DNS, at least for troubleshooting since OpenDNS + Google DNS is still acting up. Interestingly enough, now Wells Fargo's page loads once more, but US Bank continues to experience the issue. And still no Twitter avatars or images except what's been previously cached. This is very strange.


    EDIT:  While I was getting some online banking done, all the sudden Wells Fargo's site started experiencing the issue again. So it appears to be some sort of transient condition, possibly not having anything at all to do with my firewall. I sure would like to rule it out though.
  • 0
    Yes, it does indicate that the problem is hardware-related or somewhere outside the UTM.  If #7 in Rulz doesn't solve your problem, you might want to ask your ISP to monitor your connection.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    The Network section of Chrome's Developer Tools (Ctrl-Shift-I on at least one platform) can be useful to show which resources, if any, aren't loading.
  • 0
    This morning I called my ISP back and insisted on escalation. Level 2 entertained me to the point of testing on their test computer which uses a modem and is on the same network as customers. Fortunately they were able to reproduce the issue! So I sent them ping and tracert outputs for both www.usbank.com and www.wellsfargo.com (both showing interesting results), and they created a ticket for it. The problem is likely upstream from them, my guess is an interface down that is hit only in certain routing paths. 

    I visited a US Bank location this afternoon and mentioned in passing that I was having this issue visiting their web site. The clerk told me a few people had reported the same issue to them this morning. 

    So at the end of the day it seems to not be isolated to just my UTM box here. Will report back when I hear back on the support ticket (if ever), or if it starts working again.

    Thanks to all who replied! I sure appreciate the quick responses and references to troubleshooting resources. Will keep those tools in my back pocket for next time. [:)]
  • 0
    I've found that this issue is in fact due to the Sophos UTM. I started taking notes as to which sites this was happening to, and capturing tracert info each time. The latest one was secure2.sophos.com, where the tracert completed successfully. That was a deviation from the previous pattern. 

    I noticed it was also using HTTPS, so I booted the UTM box off of a pfSense LiveCD on a hunch. Turns out the same sites that weren't working under the UTM work fine from pfSense under the same routing conditions through the same hardware. So my UTM is performing some sort of HTTPS inspection still even though I had all of that turned off.

    Can someone point me in the right direction here? I would rather use the UTM for the reporting capabilities, but I cannot be without this many web sites.
Unfiltered HTML